|
Plagegeister aller Art und deren Bekämpfung: Email-Worm.Win32.Warezov.ndWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
20.10.2007, 19:42 | #16 |
| Email-Worm.Win32.Warezov.nd er ist grade offline ... kannst du es mir erklähren ? |
20.10.2007, 23:00 | #17 |
| Email-Worm.Win32.Warezov.nd Antivir update schlägt nun immer fehl ...
__________________genaue fehlermeldung : Code:
ATTFilter Die Validierung von Engine und VDF schlug fehl. Code:
ATTFilter 20.10.2007 23:57:25 - Installationsverzeichnis: C:\Programme\AntiVir PersonalEdition Classic\ 20.10.2007 23:57:25 - Sicherungsverzeichnis: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\BACKUP\ 20.10.2007 23:57:25 - Temporäres Verzeichnis: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\TEMP\AVUPDATE_471a79c5\ 20.10.2007 23:57:26 - Update GUI wird gestartet... Displaymode: 0 20.10.2007 23:57:25 - Installationsverzeichnis: C:\Programme\AntiVir PersonalEdition Classic\ 20.10.2007 23:57:25 - Sicherungsverzeichnis: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\BACKUP\ 20.10.2007 23:57:25 - Temporäres Verzeichnis: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\TEMP\AVUPDATE_471a79c5\ 20.10.2007 23:57:26 - Update GUI wird gestartet... Displaymode: 0 20.10.2007 23:57:26 - Lizenzdatei: OK [Kompletter Modus] 20.10.2007 23:57:26 - Avira AntiVir PersonalEdition Classic 20.10.2007 23:57:27 - Master IDX Datei wurde geändert 20.10.2007 23:57:28 - Lizenzdatei: OK [Kompletter Modus] 20.10.2007 23:57:28 - Das Betriebssystem der Datei basic-nt/2k/avgntflt.sys passt nicht zum aktuellen System. Datei ignoriert. 20.10.2007 23:57:28 - Das Betriebssystem der Datei basic-nt/avadmin.exe passt nicht zum aktuellen System. Datei ignoriert. 20.10.2007 23:57:28 - Das Betriebssystem der Datei basic-nt/avgio64.sys passt nicht zum aktuellen System. Datei ignoriert. 20.10.2007 23:57:28 - Das Betriebssystem der Datei basic-nt/imp64b.exe passt nicht zum aktuellen System. Datei ignoriert. 20.10.2007 23:57:28 - Das Betriebssystem der Datei basic-nt/psapi.dll passt nicht zum aktuellen System. Datei ignoriert. 20.10.2007 23:57:28 - Das Betriebssystem der Datei basic-nt/shlext64.dll passt nicht zum aktuellen System. Datei ignoriert. 20.10.2007 23:57:28 - Das Betriebssystem der Datei basic-nt/vista64/avgntflt.sys passt nicht zum aktuellen System. Datei ignoriert. 20.10.2007 23:57:28 - Das Betriebssystem der Datei basic-nt/wsctool.exe passt nicht zum aktuellen System. Datei ignoriert. 20.10.2007 23:57:28 - Das Betriebssystem der Datei basic-nt/xp64/avgntflt.sys passt nicht zum aktuellen System. Datei ignoriert. 20.10.2007 23:57:28 - Das Betriebssystem der Datei basic-nt/2k/avgntdd.sys passt nicht zum aktuellen System. Datei ignoriert. 20.10.2007 23:57:28 - Das Betriebssystem der Datei basic-nt/2k/avgntmgr.sys passt nicht zum aktuellen System. Datei ignoriert. 20.10.2007 23:57:28 - Das Betriebssystem der Datei basic-nt/nt/avgntdd.sys passt nicht zum aktuellen System. Datei ignoriert. 20.10.2007 23:57:28 - Das Betriebssystem der Datei basic-nt/nt/avgntmgr.sys passt nicht zum aktuellen System. Datei ignoriert. 20.10.2007 23:57:28 - Das Betriebssystem der Datei basic-nt/vista64/avgntflt.sys passt nicht zum aktuellen System. Datei ignoriert. 20.10.2007 23:57:28 - Lade die Produktinformationsdatei von http://dl7.avgate.net/upd/idx/vdf.info.gz herunter 20.10.2007 23:57:29 - Lizenzdatei: OK [Kompletter Modus] 20.10.2007 23:57:29 - Lade die Produktinformationsdatei von http://dl7.avgate.net/upd/idx/specvir-nt.info.gz herunter 20.10.2007 23:57:30 - Lade die Produktinformationsdatei von http://dl7.avgate.net/upd/idx/engine.info.gz herunter 20.10.2007 23:57:30 - Lade die Produktinformationsdatei von http://dl7.avgate.net/upd/idx/engine-nt-de.info.gz herunter 20.10.2007 23:57:31 - Modul: SELFUPDATE Quellverzeichnis: winwks\de\ Zielverzeichnis: C:\Programme\AntiVir PersonalEdition Classic\ Dateien: 15 20.10.2007 23:57:31 - Modul: MAIN Quellverzeichnis: winwks\de\ Zielverzeichnis: C:\Programme\AntiVir PersonalEdition Classic\ Dateien: 75 20.10.2007 23:57:31 - Modul: COMMAPPDATA Quellverzeichnis: winwks\de\ Zielverzeichnis: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ Dateien: 1 20.10.2007 23:57:31 - Modul: TEXT Quellverzeichnis: winwks\de\ Zielverzeichnis: C:\Programme\AntiVir PersonalEdition Classic\ Dateien: 3 20.10.2007 23:57:32 - Modul: VDF Quellverzeichnis: vdf\ Zielverzeichnis: C:\Programme\AntiVir PersonalEdition Classic\ Dateien: 4 20.10.2007 23:57:32 - C:\Programme\AntiVir PersonalEdition Classic\antivir0.vdf 6.40.0.0 < 6.40.0.0 20.10.2007 23:57:32 - C:\Programme\AntiVir PersonalEdition Classic\antivir3.vdf 7.0.0.111 < 7.0.0.112 20.10.2007 23:57:32 - Modul: AVREP_NT Quellverzeichnis: engine\nt\ Zielverzeichnis: C:\Programme\AntiVir PersonalEdition Classic\ Dateien: 1 20.10.2007 23:57:32 - Modul: ENGINE Quellverzeichnis: engine\ Zielverzeichnis: C:\Programme\AntiVir PersonalEdition Classic\ Dateien: 2 20.10.2007 23:57:32 - Modul: ENGINE_NT_DE Quellverzeichnis: engine\nt\ Zielverzeichnis: C:\Programme\AntiVir PersonalEdition Classic\ Dateien: 1 20.10.2007 23:57:32 - Modul: DRV Quellverzeichnis: winwks\de\ Zielverzeichnis: C:\WINDOWS\SYSTEM32\drivers\ Dateien: 4 20.10.2007 23:57:32 - C:\WINDOWS\SYSTEM32\drivers\avgntdd.sys 6.37.0.2 < 6.39.0.2 20.10.2007 23:57:32 - C:\WINDOWS\SYSTEM32\drivers\avgntmgr.sys 6.37.1.1 < 6.37.1.1 20.10.2007 23:57:32 - Minifilter ist installiert 20.10.2007 23:57:32 - Minifilter ist möglich 20.10.2007 23:57:32 - Registry Eintrag erfolgreich gelesen: Software\H+BEDV\AntiVir PersonalEdition Classic V 7 | FilterType 20.10.2007 23:57:32 - Die Datei basic-nt/xp/avgntdd.sys welche als geändert erkannt wurde muss nicht aktualisiert werden 20.10.2007 23:57:32 - Die Datei basic-nt/xp/avgntmgr.sys welche als geändert erkannt wurde muss nicht aktualisiert werden 20.10.2007 23:57:32 - Das Modul DRV welches als geändert erkannt wurde muss nicht aktualisiert werden 20.10.2007 23:57:32 - Initialisiere avnotify.exe 20.10.2007 23:57:32 - avnotify.exe wurde erfolgreich gestartet 20.10.2007 23:57:32 - Vorbereiten des Herunterladens 20.10.2007 23:57:32 - 2 Dateien müssen von http://dl7.avgate.net/upd/ heruntergeladen / kopiert werden 20.10.2007 23:57:32 - #1: Herunterladen und Entpacken von http://dl7.avgate.net/upd/vdf/antivir0.vdf.gz nach C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\TEMP\AVUPDATE_471a79c5\vdf\antivir0.vdf 20.10.2007 23:58:35 - #2: Herunterladen und Entpacken von http://dl7.avgate.net/upd/vdf/antivir3.vdf.gz nach C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\TEMP\AVUPDATE_471a79c5\vdf\antivir3.vdf 20.10.2007 23:58:38 - Die Validierung von Engine und VDF schlug fehl Return: 5 20.10.2007 23:58:42 - Der Registryeintrag Software\H+BEDV\AntiVir PersonalEdition Classic V 7 |UpdateInProgress wurde erfolgreich erstellt 20.10.2007 23:58:42 - Kritischer Fehler: Die Validierung von Engine und VDF schlug fehl ERLEDIGT Geändert von Zui0 (20.10.2007 um 23:06 Uhr) |
20.10.2007, 23:01 | #18 |
/// Helfer-Team | Email-Worm.Win32.Warezov.nd Hi,
__________________eine "C:\WINDOWS\C:\WINDOWS\System32\svchost.exe" gibt es nicht, spart euch die Suche. Wenn das im HijackThis steht, ist es die Folge eines geänderten Registryeintrags für einen Standardservice von Windows. Normalerweise wird er nicht angezeigt, da HijackThis eine Whitelist hat. regedit starten, links zu Code:
ATTFilter HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc Code:
ATTFilter %SystemRoot%\System32\svchost.exe -k netsvcs Code:
ATTFilter %SystemRoot%\C:\WINDOWS\system32\svchost.exe -k netsvcs Bleibt natürlich die Frage offen, wer dafür verantwortlich ist. Mir fällt ein, dass ich diese Veränderung oft im Zusammenhang mit einer Backdoor Ciadoor sehe. Das ist aber kein Schluss, dass die hier vorliegen muss. Gruß, Karl |
20.10.2007, 23:06 | #19 |
| Email-Worm.Win32.Warezov.nd Genau das steht da : Code:
ATTFilter \SystemRoot\C:\WINDOWS\System32\svchost.exe -k netsvcs |
21.10.2007, 09:55 | #20 |
/// AVZ-Toolkit Guru | Email-Worm.Win32.Warezov.nd Kannst du das Sicherheitscenter denn nun manuell wieder aktivieren oder geht das immer noch nicht? Silentrunners Logfile -Lade dir das Tool -> Silentrunners -Entpacke das Script in einen Ordner deiner Wahl -Doppelklick auf -> Silent Runners -> Option Supplementary Searches auswählen -System wird nun überprüft, nach Beendigung wird eine Log-Datei erstellt (Dein Antiviren-Scanner könnte eine Meldung wegen „bösartigem Script“ erstellen, ignoriere dieses und arbeite weiter!) -Dann öffne die Silent Runners xxx.txt mit einem Editor und kopiere den gesamten Inhalt ab und füge ihn in einen Beitrag ein. (Strg+A markieren -> Strg+C kopieren -> Strg+V einfügen)
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
21.10.2007, 10:06 | #21 |
| Email-Worm.Win32.Warezov.nd Also wenn ich in den systemstart gucke ( msconfig bla da ) da steht , dass das Sicherheitscenter im Autostart ist , aber beendet wurde. Ich weiß nicht wie ich es starten sollte. Ich fürhre grade noch einen Kaspersky Online Scan durch , dann mach ich das , was du vorgeschlagen hast |
21.10.2007, 10:13 | #22 | |
/// AVZ-Toolkit Guru | Email-Worm.Win32.Warezov.ndZitat:
Versuche bitte den Dienst zu starten.
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
21.10.2007, 10:16 | #23 | |
| Email-Worm.Win32.Warezov.nd Achso da hab ich es schon probiert Zitat:
|
21.10.2007, 11:00 | #24 |
| Email-Worm.Win32.Warezov.nd Hier ist die Log-Datei: Code:
ATTFilter "Silent Runners.vbs", revision 52, http://www.silentrunners.org/ Operating System: Windows XP SP2 Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++} "Logitech Utility" = "Logi_MwX.Exe" ["Logitech Inc."] "Trojancheck 6 Guard" = "C:\Programme\Trojancheck 6\tcguard.exe" [empty string] "ATIPTA" = ""C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"" ["ATI Technologies, Inc."] "ZoneAlarm Client" = ""C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"" ["Zone Labs, LLC"] "avgnt" = ""C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"] "KernelFaultCheck" = "%systemroot%\system32\dumprep 0 -k" [MS] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided) -> {HKLM...CLSID} = "Adobe PDF Reader Link Helper" \InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"] {53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided) -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"] {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided) -> {HKLM...CLSID} = "SSVHelper Class" \InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_11\bin\ssv.dll" ["Sun Microsystems, Inc."] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung" -> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung" \InProcServer32\(Default) = "deskpan.dll" [file not found] "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons" -> {HKLM...CLSID} = "HyperTerminal Icon Ext" \InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."] "{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}" = "OpenOffice.org Column Handler" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = ""C:\Programme\OpenOffice.org 2.0\program\shlxthdl.dll"" ["Sun Microsystems, Inc."] "{087B3AE3-E237-4467-B8DB-5A38AB959AC9}" = "OpenOffice.org Infotip Handler" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = ""C:\Programme\OpenOffice.org 2.0\program\shlxthdl.dll"" ["Sun Microsystems, Inc."] "{63542C48-9552-494A-84F7-73AA6A7C99C1}" = "OpenOffice.org Property Sheet Handler" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = ""C:\Programme\OpenOffice.org 2.0\program\shlxthdl.dll"" ["Sun Microsystems, Inc."] "{3B092F0C-7696-40E3-A80F-68D74DA84210}" = "OpenOffice.org Thumbnail Viewer" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = ""C:\Programme\OpenOffice.org 2.0\program\shlxthdl.dll"" ["Sun Microsystems, Inc."] "{73B24247-042E-4EF5-ADC2-42F62E6FD654}" = "ICQ Lite Shell Extension" -> {HKLM...CLSID} = "MCLiteShellExt Class" \InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string] "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] "{E0D79304-84BE-11CE-9641-444553540000}" = "WinZip" -> {HKLM...CLSID} = "WinZip" \InProcServer32\(Default) = "C:\DOKUME~1\ADMINI~1\EIGENE~1\KAI\SPIELE\VERSCH~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."] "{E0D79305-84BE-11CE-9641-444553540000}" = "WinZip" -> {HKLM...CLSID} = "WinZip" \InProcServer32\(Default) = "C:\DOKUME~1\ADMINI~1\EIGENE~1\KAI\SPIELE\VERSCH~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."] "{E0D79306-84BE-11CE-9641-444553540000}" = "WinZip" -> {HKLM...CLSID} = "WinZip" \InProcServer32\(Default) = "C:\DOKUME~1\ADMINI~1\EIGENE~1\KAI\SPIELE\VERSCH~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."] "{E0D79307-84BE-11CE-9641-444553540000}" = "WinZip" -> {HKLM...CLSID} = "WinZip" \InProcServer32\(Default) = "C:\DOKUME~1\ADMINI~1\EIGENE~1\KAI\SPIELE\VERSCH~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."] "{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler" -> {HKLM...CLSID} = "Outlook-Dateisymbolerweiterung" \InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office\OLKFSTUB.DLL" [MS] "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning" -> {HKLM...CLSID} = "Shell Extension for Malware scanning" \InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"] "{1530F7EE-5128-43BD-9977-84A4B0FAD7DF}" = "PhotoToys" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\WINDOWS\system32\phototoys.dll" [MS] "{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player" -> {HKLM...CLSID} = "RealOne Player Context Menu Class" \InProcServer32\(Default) = "C:\Programme\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."] "{D9872D13-7651-4471-9EEE-F0A00218BEBB}" = "Multiscan" -> {HKLM...CLSID} = "ZLAVShExt Class" \InProcServer32\(Default) = "C:\Programme\Zone Labs\ZoneAlarm\zlavscan.dll" ["Zone Labs, LLC"] "{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}" = "TuneUp Shredder Shell Extension" -> {HKLM...CLSID} = "TuneUp Shredder Shell Extension" \InProcServer32\(Default) = "C:\PROGRA~1\TUNEUP~2\SDShelEx-win32.dll" ["TuneUp Software GmbH"] "{44440D00-FF19-4AFC-B765-9A0970567D97}" = "TuneUp Theme Extension" -> {HKLM...CLSID} = "TuneUp Theme Extension" \InProcServer32\(Default) = "C:\WINDOWS\System32\uxtuneup.dll" ["TuneUp Software GmbH"] HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\ "WPDShServiceObj" = "{AAA288BA-9A4C-45B0-95D7-94D524869DB5}" -> {HKLM...CLSID} = "WPDShServiceObj Class" \InProcServer32\(Default) = "C:\WINDOWS\system32\WPDShServiceObj.dll" [MS] HKLM\System\CurrentControlSet\Control\Session Manager\ <<!>> "BootExecute" = "autocheck autochk *"|"lsdelete" [null data] HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ <<!>> AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."] HKLM\Software\Classes\Folder\shellex\ColumnHandlers\ {C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}\(Default) = "OpenOffice.org Column Handler" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = ""C:\Programme\OpenOffice.org 2.0\program\shlxthdl.dll"" ["Sun Microsystems, Inc."] {F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info" -> {HKLM...CLSID} = "PDF Shell Extension" \InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."] HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}" -> {HKLM...CLSID} = "MCLiteShellExt Class" \InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string] Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" -> {HKLM...CLSID} = "Shell Extension for Malware scanning" \InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"] TuneUp Shredder Shell Extension\(Default) = "{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}" -> {HKLM...CLSID} = "TuneUp Shredder Shell Extension" \InProcServer32\(Default) = "C:\PROGRA~1\TUNEUP~2\SDShelEx-win32.dll" ["TuneUp Software GmbH"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}" -> {HKLM...CLSID} = "WinZip" \InProcServer32\(Default) = "C:\DOKUME~1\ADMINI~1\EIGENE~1\KAI\SPIELE\VERSCH~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."] ZLAVShExt\(Default) = "{D9872D13-7651-4471-9EEE-F0A00218BEBB}" -> {HKLM...CLSID} = "ZLAVShExt Class" \InProcServer32\(Default) = "C:\Programme\Zone Labs\ZoneAlarm\zlavscan.dll" ["Zone Labs, LLC"] HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}" -> {HKLM...CLSID} = "MCLiteShellExt Class" \InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string] TuneUp Shredder Shell Extension\(Default) = "{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}" -> {HKLM...CLSID} = "TuneUp Shredder Shell Extension" \InProcServer32\(Default) = "C:\PROGRA~1\TUNEUP~2\SDShelEx-win32.dll" ["TuneUp Software GmbH"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}" -> {HKLM...CLSID} = "WinZip" \InProcServer32\(Default) = "C:\DOKUME~1\ADMINI~1\EIGENE~1\KAI\SPIELE\VERSCH~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."] HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" -> {HKLM...CLSID} = "Shell Extension for Malware scanning" \InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}" -> {HKLM...CLSID} = "WinZip" \InProcServer32\(Default) = "C:\DOKUME~1\ADMINI~1\EIGENE~1\KAI\SPIELE\VERSCH~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."] ZLAVShExt\(Default) = "{D9872D13-7651-4471-9EEE-F0A00218BEBB}" -> {HKLM...CLSID} = "ZLAVShExt Class" \InProcServer32\(Default) = "C:\Programme\Zone Labs\ZoneAlarm\zlavscan.dll" ["Zone Labs, LLC"] Group Policies {GPedit.msc branch and setting}: ----------------------------------------------- Note: detected settings may not have any effect. HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\ "ClearRecentDocsOnExit" = (REG_DWORD) hex:0x00000000 {unrecognized setting} HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\ "AllowLegacyWebView" = (REG_DWORD) hex:0x00000001 {unrecognized setting} "AllowUnhashedWebView" = (REG_DWORD) hex:0x00000001 {unrecognized setting} HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\ "DisableRegistryTools" = (REG_DWORD) hex:0x00000000 {User Configuration|Administrative Templates|System| Prevent access to registry editing tools} HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions\ "AlwaysPromptWhenDownload" = (REG_DWORD) hex:0x00000001 {unrecognized setting} HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\ "shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001 {Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options| Shutdown: Allow system to be shut down without having to log on} "undockwithoutlogon" = (REG_DWORD) hex:0x00000001 {Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options| Devices: Allow undock without having to log on} Active Desktop and Wallpaper: ----------------------------- Active Desktop may be disabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState Displayed if Active Desktop enabled and wallpaper not set by Group Policy: HKCU\Software\Microsoft\Internet Explorer\Desktop\General\ "Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp" Displayed if Active Desktop disabled and wallpaper not set by Group Policy: HKCU\Control Panel\Desktop\ "Wallpaper" = "C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp" Enabled Screen Saver: --------------------- HKCU\Control Panel\Desktop\ "SCRNSAVE.EXE" = "C:\WINDOWS\system32\logon.scr" [MS] Enabled Scheduled Tasks: ------------------------ "1-Klick-Wartung" -> launches: "C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe /schedulestart" ["TuneUp Software GmbH"] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS] 000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] Transport Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SYSTEMROOT%\system32\nvappfilter.dll ["NVIDIA"], 01 - 13, 27 %SystemRoot%\system32\mswsock.dll [MS], 14 - 16, 19 - 26 %SystemRoot%\system32\rsvpsp.dll [MS], 17 - 18 Toolbars, Explorer Bars, Extensions: ------------------------------------ Extensions (Tools menu items, main toolbar menu buttons) HKLM\Software\Microsoft\Internet Explorer\Extensions\ {08B0E5C0-4FCB-11CF-AAA5-00401C608501}\ "MenuText" = "Sun Java Konsole" "CLSIDExtension" = "{CAFEEFAC-0015-0000-0011-ABCDEFFEDCBC}" -> {HKCU...CLSID} = "Java Plug-in 1.5.0_11" \InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_11\bin\ssv.dll" ["Sun Microsystems, Inc."] -> {HKLM...CLSID} = "Java Plug-in 1.5.0_11" \InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_11\bin\npjpi150_11.dll" ["Sun Microsystems, Inc."] {B863453A-26C3-4E1F-A54D-A2CD196348E9}\ "ButtonText" = "ICQ Lite" "MenuText" = "ICQ Lite" "Exec" = "C:\Programme\ICQLite\ICQLite.exe" ["ICQ Ltd."] {FA9B9510-9FCB-4CA0-818C-5D0987B47C4D}\ "ButtonText" = "PokerStars.net" "Exec" = "C:\Programme\PokerStars.NET\PokerStarsUpdate.exe" ["PokerStars"] Miscellaneous IE Hijack Points ------------------------------ HKLM\Software\Microsoft\Internet Explorer\AboutURLs\ <<H>> "TuneUp" = "file://C|/Dokumente und Einstellungen/All Users/Anwendungsdaten/TuneUp Software/Common/base.css" [file not found] Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ Ad-Aware 2007 Service, aawservice, ""C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe"" ["Lavasoft AB"] AntiVir PersonalEdition Classic Guard, AntiVirService, "C:\Programme\AntiVir PersonalEdition Classic\avguard.exe" ["Avira GmbH"] AntiVir PersonalEdition Classic Planer, AntiVirScheduler, "C:\Programme\AntiVir PersonalEdition Classic\sched.exe" ["Avira GmbH"] app_filter, app_filter, "C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe" [empty string] Ati HotKey Poller, Ati HotKey Poller, "C:\WINDOWS\system32\Ati2evxx.exe" ["ATI Technologies Inc."] ForceWare IP service, nSvcIp, "C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe" [null data] ForceWare user log service, nSvcLog, "C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe" [null data] Forceware Web Interface, ForcewareWebInterface, ""C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe" -k runservice" ["Apache Software Foundation"] TrueVector Internet Monitor, vsmon, "C:\WINDOWS\system32\ZoneLabs\vsmon.exe -service" ["Zone Labs, LLC"] TuneUp Designerweiterung, UxTuneUp, "C:\WINDOWS\System32\svchost.exe -k netsvcs" {"C:\WINDOWS\System32\uxtuneup.dll" ["TuneUp Software GmbH"]} Windows Driver Foundation - User-mode Driver Framework, WudfSvc, "C:\WINDOWS\system32\svchost.exe -k WudfServiceGroup" {"C:\WINDOWS\System32\WUDFSvc.dll" [MS]} Print Monitors: --------------- HKLM\System\CurrentControlSet\Control\Print\Monitors\ EPSON Stylus CX3600 Series 2KMonitor5E\Driver = "E_FLM9BE.DLL" ["SEIKO EPSON CORPORATION"] ---------- (launch time: 2007-10-21 11:58:07) <<!>>: Suspicious data at a malware launch point. <<H>>: Suspicious data at a browser hijack point. + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + To search all directories of local fixed drives for DESKTOP.INI DLL launch points, use the -supp parameter or answer "No" at the first message box and "Yes" at the second message box. ---------- (total run time: 35 seconds, including 9 seconds for message boxes) |
21.10.2007, 11:32 | #25 | |
/// AVZ-Toolkit Guru | Email-Worm.Win32.Warezov.ndZitat:
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
21.10.2007, 11:42 | #26 |
Gast | Email-Worm.Win32.Warezov.nd Ich denk mal der hat nicht versucht den Dienst zu starten sondern nur das reine Sicherheitscenter... |
21.10.2007, 12:16 | #27 |
/// AVZ-Toolkit Guru | Email-Worm.Win32.Warezov.nd jup, das denke ich auch
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
21.10.2007, 12:17 | #28 |
| Email-Worm.Win32.Warezov.nd Also ich habe : Systemsteuerung --> Sicherheitscenter und "msconfig" Dienste Sicherheitscenter passiert aber nix |
21.10.2007, 12:18 | #29 |
| Email-Worm.Win32.Warezov.nd Achso jetzt hab ichs : --------------------------- Dienste --------------------------- Der Dienst "Sicherheitscenter" auf "Lokaler Computer" konnte nicht gestartet werden. Fehler 123: Die Syntax für den Dateinamen, Verzeichnisnamen oder die Datenträgerbezeichnung ist falsch. --------------------------- OK --------------------------- Nun kommt die meldung : --------------------------- Dienste --------------------------- Der Dienst "Sicherheitscenter" auf "Lokaler Computer" konnte nicht gestartet werden. Fehler 2: Das System kann die angegebene Datei nicht finden. --------------------------- OK --------------------------- Geändert von Zui0 (21.10.2007 um 12:27 Uhr) |
21.10.2007, 18:32 | #30 |
| Email-Worm.Win32.Warezov.nd Aber muss das denn wirklich auf nen Virus oder was anderes schädliches hinweisen ? Weil ein Kollege meinte, dass er das auch schonmal gehabt hat , aber es sich irgendwie geregelt häte. |
Themen zu Email-Worm.Win32.Warezov.nd |
ad-aware, adobe, antivir, avira, bho, explorer, f-secure, fehlermeldung, helper, hijack, hijackthis, hijackthis logfile, infiziert, internet, internet explorer, kaspersky, logfile, monitor, nicht sicher, nvidia, software, svchost.exe, system, teamspeak, trend micro, virus, virus gefunden, windows, windows xp |